Seite 1 von 1

SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: Sa., 05. Sep 2015 13:01
von hawal
Hallo,

wir benutzen bisher SMB7 lediglich für den Kontenabruf und möchten nun auch online Überweisungen vornehmen.

Bevor ich bei unserer Sparkasse nach Zugangsdaten / Sicherheitsmedien anfrage wollte ich gerne wissen, welches die beste Methode für das nachfolgende Scenario ist und wie es sich in SMB7 einrichten lässt.

Nehmen wir an wir haben 10 Benutzer, 5 Erfassende, 1 Abrufender und 4 Ausführende (Kontoberechtigte).
Jedem dieser Benutzer ist in SMB7 die entsprechende Rolle eingeräumt worden, soweit klar.

Nachdem nun ein Erfassender die Überweisung erstellt hat und diese im Postausgangskorb landet, soll diese von dem Abrufenden auf Richtigkeit überprüft werden und somit freigegeben werden. Die endgültige Freigabe zum Versand an die Bank soll jedoch nur durch den Ausführenden erfolgen können, der eine HBCI-Karte hat und die Freigabe damit bestätigt. Auf der anderen Seite soll ein Versand an die Bank durch den Ausführenden auch nur erfolgen, wenn der Abrufende die Überweisung geprüft / freigegeben hat (4-Augen-Prinzip).

Der Ausführende soll also den Auftrag nur zusammen mit dem Abrufenden ausführen können, dabei soll aber nur der Ausführende eine HBCI-karte haben, sodass ein Missbrauch durch den Abrufenden ausgeschlossen ist.

Wie lässt sich das in SMB7 realisieren? Dabei soll der Abrufende wenn möglich seine Freigabe nur durch einen Button bestätigen können oder durch ein Passwort, aber er benötigt kein spezielles Sicherheitsmedium (TAN, HBCI-Karte), das möglicherweise für sich alleine eine Überweisung ausführen kann (z.B. mit einem anderen Programm). In dem Benutzerhandbuch sehe ich nur die Funktion einer Zweitunterschrift mit dem identischen Sicherheitsmedium, also dass auch dieser zweite Benutzer (Abrufende) eine HBCI-karte haben muss.

Falls sich dieses Szenario ohne Sicherheitsmedium nicht realisieren lässt, lässt sich die HBCI-Karte des Ausführenden zumindest so beschränken, dass diese Karte für sich alleine (Kontoseitig, also egal mit welchem Programm) nur zur Verifzierung und nicht zur Ausführung verwenden lässt?

Über Eure Erfahrung und Hilfe wäre ich sehr dankbar!

Re: SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: Sa., 05. Sep 2015 15:20
von ottoager
Hallo,

das hier
Dabei soll der Abrufende wenn möglich seine Freigabe nur durch einen Button bestätigen können oder durch ein Passwort, aber er benötigt kein spezielles Sicherheitsmedium (TAN, HBCI-Karte),
geht nicht (so eine zusätzliche programminterne Freigabe nur per Button ohne Banksicherungsmedium gibt es in SMB nicht), aber das hier
das möglicherweise für sich alleine eine Überweisung ausführen kann (z.B. mit einem anderen Programm).
ebensowenig, sofern gescheit eingerichtet.

Aus meiner Sicht solltest Du für beide User eine HBCI-Chipkarte mit jeweils nur A-Unterschrift, oder meinetwegen auch 1x A- und 1x B-Unterschrift bei der Bank beantragen.

Dann unterschreibt erst der Eine mit seiner HBCI-Karte plus -PIN und dann der Andere. Das Entscheidende dabei ist, dass die bankseitige nur auf gemeinsame Verfügung ausgerichtet ist, dann würde die Bank einen unzureichend unterschriebenen (... ggf. über ein anderes Programm eingereichten...) Auftrag ablehnen.

Otto


P.S.: Was evtl. noch 'ne Option für euch wäre: EBICS mit VEU statt HBCI-Chipkarte, denn bei EBICS gibt es noch die Unterschriftsklasse T wie Transportunterschrift. Da würde der Auftrag erstmal nur mit einer Transportunterschrift versehen an die Bank geschickt, und ein anderer User mit bankfachlicher Unterschrift (Klasse E wie einzeln, A wie gemeinsam oder B wie gemeinsam mit A oder E) signiert das Ganze dann in einem zweiten Schritt. Wenn Du hier dann den bankfachlich Unterschrift Leistenden eine Chipkarte für EBICS vermachst und dem Transport-Unterschreibenden nur eine Schlüsseldatei auf einem Stick, der meinetwegen gesteckt bleibt und dessen Passwort Du speicherst, ist es nicht viel mehr als ein Button, den der Übertragende klicken muss (nämlich im Ausgangskorb auf "Senden"). Allerdings ist EBICS teurer als HBCI, für SMB benötigst Du zusätzlich das PlusPaket, und die Bank nimmt i.d.R. für den EBICS-Zugang auch einen Obolus.

Re: SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: Sa., 05. Sep 2015 18:13
von hawal
Hallo Otto,

vielen Dank für deine hilfreichen Ausführungen. Ich denke HBCI ist für uns das einfachere Modell.
Vielleicht hast du ja noch eine Antwort parat auf die nachfolgenden Verständnisfragen :D

1. Kann nach dem Erfassen eines Überweisungsauftrages dieser z.B. automatisch so im Postausgangskorb landen, sodass dieser erst noch "bestätigt" werden muss bevor er mit HBCI (Ausführender) versendet werden kann? z.B. dass dieser Auftrag nach der Erfassung einen bestimmten Status hat, der dann manuell auf "Frei" gesetzt werden muss? Sodass z.B. ein versehentlicher Versand von solch gekennzeichneten Aufträgen nicht möglich ist. Geht das möglicherweise über eine "Signierfunktion" für die keine HBCI-Karte erforderlich ist?

2. Ich entnehme deinen Ausführungen, dass es bei HBCI auch unterschiedliche Karten gibt?
Sind diese A-Karten immer an eine B-Karte geknüpft? Oder kann die B-Karte auch für z.B. vier A-Karten eingerichtet werden?

Gruß Hannes

Re: SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: Sa., 05. Sep 2015 18:42
von ottoager
Hallo,

zu 1.: Klares nein, in den Ausgangskorb eingestellte Aufträge haben immer den Status "frei".

zu 2.: Ich habe das vorhin der Vereinfachung wegen etwas ungenau formuliert. Auf den Karten wird nur eine Benutzerkennung gespeichert, keine Rechte, die liegen im Banksystem. Wenn Du die Karte mit Benutzerkennung z.B. 0815 in SMB einrichtest (genauer gesagt bei Sparkassen die Benutzerkennung draufschreibst), bekommt SMB im Anschluss automatisch von der Bank die Rechte online mitgeteilt (auf welche Konten man damit wie zugreifen darf), und daran hält sich dann SMB. Du musst bei der Sparkasse bei der Beauftragung der Freischaltung sagen, dass der Benutzer namens z.B. "Max Muster" eine A-Vollmacht auf Konto 123 haben soll, der Benutzer "Rita Schulze" nur eine B-Vollmacht auf das selbe Konto usw., auf andere Konten gehen mit der gleichen Karte oder genauer gesagt Benutzerkennung dann auch andere Rechte.

Ein A-Benutzer kann zusammen mit jedem beliebigen weiteren E-, A-, B-Benutzer unterschreiben. Ein B-Benutzer kann mit jedem beliebigen weiteren A- oder E-Benutzer unterschreiben, aber nie mit einem anderen B-Benutzer.

Otto

Re: SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: Sa., 05. Sep 2015 18:51
von hawal
Hallo nochmals,

ok, dann denke ich - dank deiner erstklassigen Hilfe - damit eine gute Lösung gefunden zu haben. Dann werde ich mal bei meiner Bank anrufen und das entsprechend einrichten lassen.

Viele Grüße Hannes

Re: SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: So., 06. Sep 2015 15:00
von ottoager
Alles klar - dann viel Erfolg, Hannes. :wink:

Otto

Re: SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: Mi., 02. Dez 2015 12:00
von hawal
Hallo Otto,

ich wollte noch Rückmeldung geben, dass alles geklappt hat.

Unsere Bank hat HBCI-Karten mit A- und B-Vollmacht erstellt und das Ganze als "gemeinsame" Verfügungsberechtigung hinterlegt.

Danke nochmals für die Hilfe!

Re: SMB 7 - Überweisungen 4-Augen-Prinzip / Zweitunterschrift - Best practice?

Verfasst: Mi., 02. Dez 2015 12:14
von ottoager
Sehr schön - danke für die Rückmeldung, Hannes. :)

Otto